軟交換網(wǎng)絡(luò)中的安全機(jī)制
李���;
2003/12/31
摘 要 從網(wǎng)絡(luò)設(shè)備���、網(wǎng)絡(luò)�����、信息�����、終端設(shè)備四方面介紹了軟交換網(wǎng)絡(luò)中的安全機(jī)制問題�。
關(guān)鍵詞 軟交換 網(wǎng)絡(luò) 安全
一、引言
為了能夠適應(yīng)未來的通信發(fā)展需求����,通信網(wǎng)絡(luò)的轉(zhuǎn)變勢在必行。當(dāng)前的基于不同傳輸和控制技術(shù)的各種網(wǎng)絡(luò)必須融合為一個(gè)統(tǒng)一的���、多業(yè)務(wù)的�����、以數(shù)據(jù)網(wǎng)絡(luò)為中心的����、在開放的業(yè)務(wù)平臺(tái)上提供不同服務(wù)質(zhì)量業(yè)務(wù)的下一代網(wǎng)絡(luò)��。而目前以軟交換為核心��、光網(wǎng)絡(luò)和分組型傳送技術(shù)為基礎(chǔ)的開放式融合網(wǎng)成為業(yè)界選擇下一代網(wǎng)絡(luò)時(shí)的首要考慮對象�。
目前,軟交換無論是標(biāo)準(zhǔn)還是設(shè)備都處在一個(gè)逐漸成熟的過程之中�����,國內(nèi)的運(yùn)營公司所組建的軟交換網(wǎng)絡(luò)還主要是在試驗(yàn)和試運(yùn)行階段���,在軟交換網(wǎng)絡(luò)中涉及的許多問題還有待深入地探討和研究���,畢竟軟交換采用的是以IP網(wǎng)絡(luò)作為承載網(wǎng)絡(luò)的技術(shù)。IP技術(shù)本身存在的許多問題以及軟交換技術(shù)作為一個(gè)新的技術(shù)而存在的問題���,都是軟交換技術(shù)在發(fā)展過程中需要面對和解決的問題��。本文旨在通過對軟交換技術(shù)的跟蹤和研究����,對軟交換網(wǎng)絡(luò)中所涉及的安全機(jī)制進(jìn)行探討和分析����。
軟交換網(wǎng)絡(luò)的承載網(wǎng)絡(luò)采用的是分組網(wǎng)絡(luò)��,主要以IP網(wǎng)和ATM網(wǎng)作為承載網(wǎng)絡(luò)���,通信協(xié)議和媒體信息主要采用IP數(shù)據(jù)包的形式進(jìn)行傳送,軟交換網(wǎng)絡(luò)中接入節(jié)點(diǎn)比較多��,用戶的接入方式和接入地點(diǎn)都非常靈活���,所以軟交換網(wǎng)絡(luò)也就面臨著比較突出的安全問題��,本文將從四個(gè)方面探討軟交換網(wǎng)絡(luò)中所涉及的安全機(jī)制���。
二、網(wǎng)絡(luò)設(shè)備的安全
目前�,關(guān)于軟交換安全方面的文章很少談到軟交換中網(wǎng)絡(luò)設(shè)備自身的安全問題,網(wǎng)絡(luò)設(shè)備是軟交換網(wǎng)絡(luò)中最為關(guān)鍵的設(shè)備�����,主要包括軟交換設(shè)備����、中繼網(wǎng)關(guān)設(shè)備�����、信令網(wǎng)關(guān)設(shè)備�����、操作維護(hù)和網(wǎng)管設(shè)備等。為了充分保證軟交換網(wǎng)絡(luò)的安全�����,首先這些網(wǎng)絡(luò)設(shè)備本身要從物理設(shè)計(jì)層面上提供一定的安全機(jī)制��,以便軟交換網(wǎng)絡(luò)能夠達(dá)到電信級網(wǎng)絡(luò)的要求����。
軟交換技術(shù)采用呼叫和承載控制相分離的技術(shù),網(wǎng)絡(luò)設(shè)備的處理能力有了很大的提高��,可以處理更多的話務(wù)和承載更多的業(yè)務(wù)負(fù)荷�����,但隨之而來的問題就是安全性的問題�。對于采用板卡方式設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備��,一塊單板在正常情況下能夠承載更多的話務(wù)和負(fù)荷�����,那么在發(fā)生故障時(shí)就有可能造成更大范圍內(nèi)的業(yè)務(wù)中斷和損失���,所以對于處理類型的單板都需要做到備份處理。從目前對廠家所提供設(shè)備的情況了解來看��,對于采用板卡方式設(shè)計(jì)的軟交換設(shè)備一般都提供相應(yīng)的備份機(jī)制��,在發(fā)生板卡的倒換時(shí)一般不會(huì)中斷現(xiàn)有的通話�����,但是對于中繼網(wǎng)關(guān)設(shè)備�,當(dāng)中繼網(wǎng)關(guān)設(shè)備的板卡發(fā)生倒換時(shí),有可能造成實(shí)時(shí)通話中斷����。這是因?yàn)樵谲浗粨Q網(wǎng)絡(luò)中每個(gè)通話都分成了兩個(gè)層面,一個(gè)是呼叫控制層面(該功能由軟交換設(shè)備完成)��,一個(gè)是承載連接層面(這里主要由中繼網(wǎng)關(guān)設(shè)備完成)��,有的廠家對呼叫層面呼叫狀態(tài)的保持給予了重視但卻忽視了承載連接層面媒體連接狀態(tài)的保持。
在軟交換網(wǎng)絡(luò)中�����,隨著設(shè)備集成度的提高和ATM/IP技術(shù)的大量運(yùn)用�,物理端口和網(wǎng)絡(luò)端口的容量和密度都有了很大程度的提高,因此許多廠家在相關(guān)的設(shè)備中都提供了物理端口和網(wǎng)絡(luò)端口的備份���。在已經(jīng)發(fā)布的《軟交換設(shè)備技術(shù)規(guī)范》中對此進(jìn)行了明確的規(guī)定:“軟交換的IP出口設(shè)備應(yīng)能夠支持以主備用的方式同時(shí)與分組承載網(wǎng)的網(wǎng)絡(luò)設(shè)備相連接,即要求支持IP接口單板間的熱備份機(jī)制”和“軟交換要支持端口級的熱備份機(jī)制”�,物理端口和網(wǎng)絡(luò)端口的備份實(shí)現(xiàn)起來比較簡單,目前一般廠家的網(wǎng)絡(luò)設(shè)備都提供有相應(yīng)的功能���。
在軟交換網(wǎng)絡(luò)中最關(guān)鍵的設(shè)備--軟交換設(shè)備負(fù)責(zé)控制大量的設(shè)備和呼叫接續(xù)���,處理能力和功能都非常強(qiáng)大,當(dāng)軟交換設(shè)備出現(xiàn)問題和故障時(shí)��,將給整個(gè)網(wǎng)絡(luò)造成非常大的影響�����。如何避免軟交換設(shè)備故障所造成的影響���,需要考慮到雙歸屬或多歸屬的解決方案�����。首先��,需要中繼網(wǎng)關(guān)�、接入網(wǎng)關(guān)、綜合接入設(shè)備IAD等設(shè)備能夠檢測軟交換之間的連接性�����,這樣當(dāng)這些設(shè)備檢測到和軟交換之間的連接丟失之后能夠向軟交換設(shè)備重新進(jìn)行注冊�。其次,需要這些設(shè)備能夠同時(shí)依次向多個(gè)軟交換設(shè)備進(jìn)行注冊���,這就需要中繼網(wǎng)關(guān)���、接入網(wǎng)關(guān)和IAD設(shè)備在向軟交換設(shè)備注冊失敗之后,在有備份軟交換設(shè)備的情況下�,網(wǎng)關(guān)設(shè)備能夠根據(jù)備份軟交換設(shè)備列表有序地向備份軟交換設(shè)備進(jìn)行注冊,直到注冊成功為止���,網(wǎng)關(guān)設(shè)備應(yīng)該從多歸屬的軟交換設(shè)備上獲得完全相同的業(yè)務(wù)特征���。在正常情況下�����,雙歸屬/多歸屬的軟交換設(shè)備各自承擔(dān)自己的業(yè)務(wù)�,只有在一個(gè)軟交換設(shè)備失效的情況下才承擔(dān)另一個(gè)軟交換設(shè)備所承擔(dān)的業(yè)務(wù)���,同時(shí)雙歸屬/多歸屬的軟交換設(shè)備在地理位置上應(yīng)該位于不同的區(qū)域��。
目前�����,對于雙歸屬/多歸屬功能的實(shí)現(xiàn)存在以下問題,一是連接性檢測問題���。有些廠家生產(chǎn)的網(wǎng)關(guān)設(shè)備和IAD設(shè)備沒有連接性檢測機(jī)制�,這樣從實(shí)際運(yùn)營的角度來看雙歸屬/多歸屬功能的自動(dòng)實(shí)現(xiàn)將存在問題���,也給整個(gè)網(wǎng)絡(luò)的安全造成隱患�����;二是對于軟交換網(wǎng)絡(luò)中將大量存在的IAD設(shè)備���,配置有軟交換接入列表的很少�,有些IAD設(shè)備只配有一個(gè)所歸屬軟交換的IP地址���,這樣對IAD設(shè)備也將無法實(shí)現(xiàn)雙歸屬/多歸屬的功能���。如果采用啟動(dòng)雙歸屬/多歸屬功能,需要互為備份歸屬的軟交換設(shè)備共用一個(gè)認(rèn)證設(shè)備��,以便對相應(yīng)的網(wǎng)關(guān)設(shè)備���、IAD設(shè)備統(tǒng)一進(jìn)行認(rèn)證���。
有的廠家對軟交換設(shè)備的雙歸屬/多歸屬功能的重要性認(rèn)識不夠,認(rèn)為如果軟交換設(shè)備工作比較穩(wěn)定和可靠����,就沒必要提供該功能,有的廠家干脆就不支持該功能����,希望這些廠家能夠?qū)υ摴δ芤鸶叨鹊闹匾����。從網(wǎng)絡(luò)設(shè)備的安全運(yùn)營角度來看�����,軟交換設(shè)備雙歸屬/多歸屬功能的支持是必需的�,也是軟交換網(wǎng)絡(luò)安全運(yùn)行必須考慮的一個(gè)環(huán)節(jié)。此外���,需要考慮的是軟交換網(wǎng)絡(luò)中的操作維護(hù)��、網(wǎng)管和軟件升級的安全����。網(wǎng)管系統(tǒng)應(yīng)具有不同級別的管理員權(quán)限管理機(jī)制����,越權(quán)操作應(yīng)予以禁止���。對非法操作提供記錄信息��,對系統(tǒng)可能造成潛在危害的請求�����,如多次認(rèn)證失敗的連接�、可疑的IP地址連接、頻發(fā)的大話務(wù)流量等�,應(yīng)能夠告警并采取相應(yīng)的防范措施。
除了以上網(wǎng)絡(luò)設(shè)備需要考慮的安全問題之外�����,軟交換網(wǎng)絡(luò)中的核心設(shè)備(包括軟交換設(shè)備���、媒體網(wǎng)關(guān)設(shè)備���、服務(wù)器等)在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備,因此要求這些核心網(wǎng)絡(luò)設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全措施�,可以應(yīng)用防火墻、入侵檢測����、流量控制、安全日志與審計(jì)等技術(shù)實(shí)現(xiàn)對軟交換網(wǎng)絡(luò)核心設(shè)備的安全防護(hù)�。
三��、網(wǎng)絡(luò)的安全
網(wǎng)絡(luò)安全是指軟交換網(wǎng)絡(luò)本身的安全�����,既保證軟交換網(wǎng)絡(luò)中的媒體網(wǎng)關(guān)�����、軟交換設(shè)備�、應(yīng)用服務(wù)器����、網(wǎng)管系統(tǒng)等設(shè)備不會(huì)受到非法攻擊。由于軟交換技術(shù)選擇了分組網(wǎng)絡(luò)作為承載網(wǎng)絡(luò)�,并且各種信息主要采用IP分組的方式進(jìn)行傳輸,IP協(xié)議的簡單和通用性為網(wǎng)絡(luò)黑客提供了便利的條件�����。
要保證軟交換網(wǎng)絡(luò)的安全�����,首先是要保證網(wǎng)絡(luò)中核心設(shè)備的安全�,如果將核心的網(wǎng)絡(luò)設(shè)備置于開放的IP網(wǎng)絡(luò)中,網(wǎng)絡(luò)的安全性將很難保證�����,所以筆者認(rèn)為網(wǎng)絡(luò)的核心設(shè)備必須放在專用網(wǎng)絡(luò)中���,采用私有IP地址的方案�����。完全采用私有IP地址的方案也是不可行的��,由于終端用戶的接入方式和接入地點(diǎn)比較靈活��,因此軟交換設(shè)備要能夠接入和控制終端用戶���,又要同時(shí)分配有對應(yīng)的公有IP地址,這樣才能保證各種方式用戶的接入��。為此���,可以在核心網(wǎng)外側(cè)設(shè)置防火墻�����,并將軟交換網(wǎng)絡(luò)中少數(shù)需要與外界用戶進(jìn)行通信的核心設(shè)備的私有地址映射到相應(yīng)的公有地址�����,同時(shí)利用防火墻對進(jìn)入核心網(wǎng)的數(shù)據(jù)包進(jìn)行過濾�����,只允許特定端口號的數(shù)據(jù)包通過防火墻�����,這種方法可以對Ping of Death等一系列的DOS(分布式拒絕服務(wù)攻擊)攻擊進(jìn)行過濾���。
在骨干網(wǎng)層面�����,可以采用目前相對比較成熟的技術(shù)--MPLS VPN技術(shù)�,構(gòu)建相對獨(dú)立的VPN網(wǎng)絡(luò)�����。這樣可以對不同用戶間��、用戶與公網(wǎng)間、業(yè)務(wù)子網(wǎng)和業(yè)務(wù)子網(wǎng)間的路由信息進(jìn)行隔離�,并且非MPLS VPN內(nèi)的用戶無法訪問到軟交換域VPN內(nèi)的網(wǎng)絡(luò)設(shè)備�,從而可以保證網(wǎng)絡(luò)的安全。各種終端設(shè)備是軟交換網(wǎng)絡(luò)中最大的安全隱患����,終端設(shè)備處于用戶端,存在被用來惡意攻擊軟交換網(wǎng)絡(luò)中核心網(wǎng)絡(luò)設(shè)備的可能性�����。建議在軟交換網(wǎng)絡(luò)的接入邊緣設(shè)置寬帶接入服務(wù)器(BAS--Broadband Access Server)�,作為用戶接入網(wǎng)和骨干網(wǎng)之間的網(wǎng)關(guān),終結(jié)來自用戶接入網(wǎng)的連接�����,并提供接入到寬帶核心業(yè)務(wù)網(wǎng)(主要是IP網(wǎng)和ATM網(wǎng))的服務(wù)��。寬帶接入服務(wù)器一般具有網(wǎng)絡(luò)安全模塊和業(yè)務(wù)管理模塊����,網(wǎng)絡(luò)安全模塊可以包括IP VPN模塊和防火墻模塊,業(yè)務(wù)管理模塊包括網(wǎng)絡(luò)接入認(rèn)證與授權(quán)模塊��、計(jì)費(fèi)模塊和統(tǒng)計(jì)模塊,另外有些寬帶接入服務(wù)器還可以提供流量管理和控制����。利用寬帶接入服務(wù)器可以對終端用戶的接入進(jìn)行控制和管理。
軟交換網(wǎng)絡(luò)在邏輯上是與其它網(wǎng)絡(luò)相隔離的網(wǎng)絡(luò)��,為了實(shí)現(xiàn)軟交換網(wǎng)絡(luò)的運(yùn)營還要涉及與其它網(wǎng)絡(luò)的互通��,不僅要和傳統(tǒng)的電信網(wǎng)絡(luò)(包括PSTN/PLMN����,H.323網(wǎng)絡(luò))和智能網(wǎng)的互通,還要涉及到與其它運(yùn)營商的軟交換網(wǎng)絡(luò)�、Internet網(wǎng)絡(luò)、企業(yè)網(wǎng)等網(wǎng)絡(luò)的互通��。雖然針對上述的互通情況目前相關(guān)的規(guī)定和方案還不成熟���,但有的廠家已經(jīng)提出了自己的解決方案�,如實(shí)現(xiàn)媒體層面互通的網(wǎng)關(guān)和實(shí)現(xiàn)控制層面互通的網(wǎng)關(guān)設(shè)備����,進(jìn)行兩個(gè)不同網(wǎng)絡(luò)之間的地址變換、編解碼轉(zhuǎn)換和網(wǎng)絡(luò)的安全防護(hù)等功能,對這方面的方案和技術(shù)還有待進(jìn)一步的研究�。
四、信息的安全
信息的安全主要包括軟交換與終端之間傳輸協(xié)議的安全��、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名��、密碼等)的安全���,要保證這些信息不為非法用戶竊取和監(jiān)聽。
軟交換與終端之間的傳輸協(xié)議涉及H.248協(xié)議�、MGCP協(xié)議、SIP協(xié)議和H.323協(xié)議���,為了防止未授權(quán)的實(shí)體利用這些協(xié)議建立非法呼叫或者干涉合法呼叫���,需要對這些協(xié)議的傳輸建立安全機(jī)制。當(dāng)在IP網(wǎng)絡(luò)上傳輸H.248協(xié)議時(shí)����,目前提出了兩種解決方案,一種是采用IPsec對協(xié)議傳輸進(jìn)行安全保護(hù)�����。IPsec包括三個(gè)協(xié)議:加密協(xié)議、認(rèn)證協(xié)議和密鑰交換協(xié)議����。其中加密協(xié)議是封裝安全凈荷(ESP)協(xié)議對媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供加密;認(rèn)證協(xié)議是認(rèn)證頭(AH)協(xié)議對在媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間傳送的消息提供數(shù)據(jù)源認(rèn)證��,無連接完整性保護(hù)和可選的抗重發(fā)保護(hù)���;密鑰交換協(xié)議是IKE協(xié)議提供媒體網(wǎng)關(guān)/終端設(shè)備和軟交換設(shè)備之間進(jìn)行密鑰協(xié)商的機(jī)制��。另一種是過渡性AH方案�。如果低層協(xié)議不支持IPsec����,則應(yīng)建議采用過渡性AH方案,過渡性AH方案是在H.248協(xié)議頭中定義可選的AH頭來實(shí)現(xiàn)對協(xié)議連接的保護(hù)�����,過渡性AH方案只能提供一定程度的保護(hù)���,例如該方案不能提供防竊聽保護(hù)����。
當(dāng)在IP網(wǎng)絡(luò)中傳送MGCP協(xié)議和SIP協(xié)議時(shí),目前提出的主要安全機(jī)制也是IPsec協(xié)議�。當(dāng)軟交換設(shè)備和終端之間采用H.323協(xié)議時(shí),按照H.323協(xié)議的相關(guān)描述���,針對單個(gè)呼叫的安全性可采用AccessToken實(shí)現(xiàn)�,即在信令消息中攜帶密鑰信息�。
綜上所述,目前保證通信協(xié)議安全傳輸?shù)臋C(jī)制主要還是IPsec協(xié)議�����。有些廠家的軟交換設(shè)備和終端設(shè)備也能夠支持IPsec協(xié)議���,但實(shí)際上并沒有使用該機(jī)制,主要是該機(jī)制所涉及到的一系列協(xié)議比較復(fù)雜��,而且極大地增加了軟交換設(shè)備的負(fù)荷���。
為了防止用戶之間的媒體信息被竊聽��,可以對RTP包進(jìn)行加密�,目前主要采用對稱加密算法對RTP包進(jìn)行加密�����。為了對RTP包進(jìn)行加密,需要在呼叫建立過程中向終端傳送密鑰信息���。隨著終端數(shù)量的增加��,密鑰的需求量會(huì)成倍增加����。為了能夠保證媒體信息的安全���,用戶的媒體通信可能都需要使用不同的密鑰��,所以對密鑰的分發(fā)提出了嚴(yán)峻的考驗(yàn)���,目前比較好的一種解決方案是采用Kerberos解決方案。Kerberos方案中提供一個(gè)安全的���、可信任的密鑰分發(fā)中心(Key Distribution Center���,KDC),SIP終端/IAD設(shè)備只要知道與KDC進(jìn)行通信的密鑰就可以了�,而不需要知道成百上千個(gè)不同的密鑰����。使用該方案首先需要在軟交換網(wǎng)絡(luò)中提供一個(gè)新的設(shè)備--密鑰分發(fā)中心KDC�,而且軟交換網(wǎng)絡(luò)中的終端設(shè)備需要支持和KDC之間的交互協(xié)議,并且該設(shè)備的安全也影響著整個(gè)系統(tǒng)的安全性���,所以有關(guān)該方案還需要進(jìn)一步的探討����。
對于用戶私有信息包括用戶名�、密碼、賬號等信息�����,目前主要采用的加密算法是MD5���,用于用戶身份的認(rèn)證。
為了保證信息的安全性�����,可以在軟交換用戶接入網(wǎng)絡(luò)側(cè)根據(jù)實(shí)際的網(wǎng)絡(luò)接入方式和網(wǎng)絡(luò)的實(shí)際情況采用某種接入網(wǎng)隔離技術(shù)���,如采用虛擬局域網(wǎng)VLAN等隔離技術(shù)對用戶的數(shù)據(jù)流進(jìn)行隔離��,將用戶的語音信息和數(shù)據(jù)信息分別設(shè)置在不同的VLAN中��,防止用戶的信息被非法用戶截取����,并在一定程度上可以控制用戶之間的訪問。目前���,VLAN技術(shù)已經(jīng)在網(wǎng)絡(luò)組織和網(wǎng)絡(luò)安全方面得到了廣泛的應(yīng)用��。
五��、終端設(shè)備的安全
如上所述����,在軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備���,而且這些終端設(shè)備的接入地點(diǎn)和接入方式都非常靈活���,這些終端都放置在用戶側(cè),無法避免有些用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò)���,占用網(wǎng)絡(luò)資源�,非法享受業(yè)務(wù)和服務(wù),并且某些用戶可能利用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)動(dòng)攻擊�����,對網(wǎng)絡(luò)的安全造成威脅(如發(fā)送大量的IP數(shù)據(jù)包等)�。因此,要保證軟交換網(wǎng)絡(luò)的安全�����,需要對軟交換網(wǎng)絡(luò)中的終端設(shè)備進(jìn)行鑒權(quán)和認(rèn)證�����,主要是IAD設(shè)備和SIP/H.323等終端設(shè)備���。目前��,對IAD設(shè)備的鑒權(quán)和認(rèn)證主要有以下幾種方式:
第一種方式是IAD在向軟交換進(jìn)行注冊時(shí),軟交換設(shè)備可以從IAD向軟交換設(shè)備發(fā)送的注冊信息中提取出IP地址或域名����,或者IP地址與其它參數(shù)的組合���,與自身數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比較。如果提取出來的信息在數(shù)據(jù)庫中不存在�,那么判定該IAD設(shè)備為非法終端,該IAD設(shè)備的注冊將失敗����。這種方案對于采用靜態(tài)IP地址配置方式是可行的,但是為了IAD設(shè)備配置的靈活�,有些IAD的IP地址采用動(dòng)態(tài)分配的方式,IP地址和IAD設(shè)備之間沒有一一對應(yīng)的關(guān)系���,這樣通過IP地址來對IAD設(shè)備進(jìn)行鑒權(quán)和認(rèn)證就不可行了���。
第二種方案是在IAD設(shè)備向軟交換發(fā)送的注冊信息中攜帶MAC地址信息。MAC地址信息對于IAD設(shè)備來說是惟一的����,而且能夠惟一地標(biāo)識IAD設(shè)備,該方案也是目前應(yīng)用比較廣泛的一種方案�。軟交換在收到IAD設(shè)備發(fā)送的注冊消息后,從中提取出MAC地址信息��,并與自身數(shù)據(jù)庫中所保存的信息進(jìn)行比較���。為了實(shí)施該方案�,需要在正常標(biāo)準(zhǔn)的H.248/MGCP協(xié)議的注冊命令中增加一些擴(kuò)展參數(shù)來攜帶MAC地址信息�����?紤]到MAC地址信息在網(wǎng)絡(luò)上傳輸時(shí)可能會(huì)被竊取�,因此需要對IAD的MAC地址進(jìn)行加密。
第三種方案是IAD設(shè)備在工作之前必須完成管理注冊和業(yè)務(wù)注冊����。管理注冊就是IAD設(shè)備在啟動(dòng)后向網(wǎng)管站進(jìn)行注冊,業(yè)務(wù)注冊就是IAD設(shè)備向軟交換進(jìn)行注冊�,該方案具體可參見《IAD設(shè)備技術(shù)規(guī)范》中的資料性附錄C.3.3。
從目前各廠家所提供軟交換設(shè)備的情況來看�,對IAD設(shè)備的鑒權(quán)和認(rèn)證主要是集中在第一和第二種方案,或者在這兩種方案基礎(chǔ)上的一些變種����,基本上可以保證合法的IAD設(shè)備接入到網(wǎng)絡(luò)。另外����,有些廠家在IAD設(shè)備向軟交換發(fā)送的所有協(xié)議消息中都攜帶有相關(guān)的鑒權(quán)和認(rèn)證信息����,更進(jìn)一步加強(qiáng)了網(wǎng)絡(luò)的安全�����,但從一定程度上也加重了軟交換設(shè)備的處理負(fù)荷�����。
對于SIP終端和H.323終端來講��,目前還缺少相應(yīng)的規(guī)范�����。另外����,在這些終端設(shè)備上集中了較多的智能��,而且不僅有以硬終端形式出現(xiàn)的終端設(shè)備�,還有以軟終端形式出現(xiàn)的終端設(shè)備(所謂軟終端即為可以安裝在計(jì)算機(jī)上仿SIP終端或H.323終端功能的軟件),并且位置比較靈活����。尤其是軟終端�����,對這種類型的終端采用類IAD設(shè)備的鑒權(quán)和認(rèn)證方案是不可行的�。目前���,對于這些終端鑒權(quán)和認(rèn)證的方式主要是基于用戶名和密碼�,使用這些終端的用戶在向軟交換設(shè)備發(fā)送注冊消息時(shí)����,需要首先輸入用戶名和密碼信息,并對這些信息都采用加密方式進(jìn)行傳送�����,這些終端只有通過軟交換的鑒權(quán)和認(rèn)證才能使用網(wǎng)絡(luò)資源�����。
六�、結(jié)束語
軟交換網(wǎng)絡(luò)中的安全機(jī)制涉及的方面比較多,本文僅從四個(gè)方面對軟交換網(wǎng)絡(luò)中應(yīng)該考慮的安全機(jī)制進(jìn)行了闡述���,并結(jié)合目前軟交換系統(tǒng)生產(chǎn)廠家具體實(shí)現(xiàn)情況����,以及目前相關(guān)標(biāo)準(zhǔn)和規(guī)范的情況進(jìn)行了探討和分析����。安全機(jī)制是針對軟交換技術(shù)的研究,以及對軟交換網(wǎng)絡(luò)發(fā)展��、軟交換網(wǎng)絡(luò)的運(yùn)營都是必須要慎重考慮的問題�����。從以上分析來看���,軟交換網(wǎng)絡(luò)中的安全機(jī)制有些方面還不太成熟���,需要進(jìn)一步地跟蹤和研究,以便提出切實(shí)可行的方案��。
中國通信網(wǎng)(www.c114.net)—電信網(wǎng)技術(shù)
相關(guān)鏈接: